ネットバンキングにおける不正送金被害が急増している。警察庁の調べによれば、2019年8月の発生件数は105件、被害額は約7400万円だったが、9月はそれぞれ436件、約4億2600万円と急激に拡大した。9月だけで2019年1~6月の合計183件を大きく上回り、2012年以降の月間数値として最多だという。
国内銀行各社は対策を急いでいるが、決定打に乏しいのが実情だ。利用者も自衛策を講じる必要がある。
2要素認証突破の試みが急増
大手金融機関やITベンダーなどで構成し、警察庁と連携してサイバー犯罪の情報収集を進める日本サイバー犯罪対策センター(JC3)は、2019年9月ごろに本格化した新手のフィッシングが被害急増につながったとみている。銀行をかたったフィッシングメールを利用者に送り、そこから銀行の公式サイトを装った偽サイト(フィッシングサイト)に誘導してパスワードなどの認証情報を窃取する。フィッシング自体は以前からある古典的な手口だ。
だが、最近は手口がさらに巧妙化しているという。JC3は、(1)フィッシングメールにSMS(ショートメッセージサービス)が使用されている、(2)正規サイトのURLと誤認させるため、フィッシングサイトのURLにHTTPSから始まるものや.jpドメインが使用されているものがある、(3)フィッシングサイトにおいて、インターネットバンキングのアカウントやパスワードの情報のみならず、ワンタイムパスワードや秘密の合言葉などを入力させる――という3つの特徴を挙げる。
特に(3)の特徴、すなわち「2要素認証」の突破を図る手口が被害急増の主因となっている可能性が高い。JC3の会員企業であるトレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏は「2要素認証の突破から不正送金を狙う手口が2019年9月ごろから急増している」と指摘する。
多くのネットバンキングは利用者に対し、ユーザーIDとパスワードに加え、ワンタイムパスワードやキャッシュカードなどに印刷した乱数表の数値、秘密の合言葉などの入力を求める2要素認証を採用している。ログイン時や、送金などの重要な操作を行う際は、これらの情報の入力を求める。
新手の手口でサイバー犯罪者は利用者を偽サイトへ誘導し、2要素認証情報の入力を求める。利用者が誤って入力してしまうと、サイバー犯罪者に2要素認証情報を丸ごと窃取され、不正送金を実行されてしまう可能性がある。
トレンドマイクロの調べによれば、日本のネットバンキングの2要素認証突破を狙うフィッシングサイトは2018年末ごろに出現。2019年1~8月の8カ月間で216件の新規ドメイン(サイト)の出現を確認した。1日1件弱の緩やかなペースだったが、9月は94件、10月は61件と急増しており、サイバー犯罪者が攻撃を激化させたとみている。
新たな手口では、(1)(2)の特徴で利用者を信用させつつ、(3)の特徴で送金実行に不可欠な認証要素を奪っているわけだ。
